Die Open-Source-Software Log4j, die für die Erfassung, Bewertung und Dokumentation von Fehlerereignissen auf Computern eingesetzt wird, hat sich als globale Standardanwendung etabliert. Dies hat den Vorteil, dass für diesen Zweck nicht wiederholt von allen das Rad neu erfunden werden muss. Nachteil ist aber die globale Reichweite, die bei einem Angriff, der die Schwachstelle der Software ausnutzt, erzielt werden kann.

Das Dilemma von Log4j gilt ebenso für jede andere verbreitete Standardsoftware, die millionenfach eingesetzt wird. Es führt tendenziell zu einem Wettlauf in der Dunkelheit. IT-Sicherheitsexperten, die eine gravierende Bedrohung entdecken, die alle roten Lampen angehen lässt, sind gehalten, diese zunächst nicht öffentlich zu machen und stattdessen nur betroffene Unternehmen und Behörden zu informieren. Damit besteht die Chance, das Problem in den Griff zu kriegen, bevor Cyberkriminelle zuschlagen können und in ihrer eigenen "Bereichsöffentlichkeit" gleichsam zum Großangriff blasen. Überdies können Unternehmen, bei denen bereits ein Schaden eingetreten ist, zumindest versuchen, diesen möglichst geräuschlos zu beheben und damit auch einen Reputationsschaden abzuwenden.

Nach dieser bewährten Methode wurde auch bei Log4j verfahren. Allerdings ist der zeitliche Vorsprung der Cyberabwehr vor der Angriffswelle erfahrungsgemäß gering. Und die Verdunklungstaktik hat auch eine Kehrseite: Sie verkürzt die Vorwarnzeit für den Rest der Welt. Das ist vor allem deshalb kritisch, weil Software-Updates, die eine Sicherheitslücke schließen, oft schnell verfügbar sind, aber nur langsam implementiert werden. Die zunehmende Komplexität von Unternehmens-IT-Systemen und Cloud-Anbindung kostet dabei wertvolle Zeit. Guter Rat ist hier im buchstäblichen Sinne teuer: Bei Investitionen in Cybersecurity muss deutlich aufgerüstet werden.

Quelle: Börsen-Zeitung (ots)  von Heidi Rohde